Implementatieschema van Azure Information Protection

Van toepassing op: Azure Information Protection, Office 365

Gebruik de volgende stappen om Azure Information Protection voor uw organisatie voor te bereiden, te implementeren en te beheren.

Als u Azure Information Protection alleen snel wilt proberen in plaats van dit uit te rollen in een productieomgeving, raadpleegt u Quick start tutorial for Azure Information Protection (Zelfstudie voor snel starten met Azure Information Protection).

Belangrijk

Voordat u de volgende stappen uitvoert, zorgt u ervoor dat u Vereisten voor Azure Information Protection hebt gelezen.

Kies het implementatieschema dat van toepassing is op uw organisatie en dat overeenkomt met de functionaliteit en functies van het abonnement die u nodig hebt:

Implementatieschema voor classificatie, labels en bescherming

Notitie

Maakt u al gebruik van de Azure Rights Management-service voor gegevensbescherming? U kunt een groot aantal van deze stappen overslaan en u richten op stap 3 en 5.1.

Stap 1: bevestig uw abonnement en wijs gebruikerslicenties toe

Raadpleeg de abonnementsgegevens en de functielijst op de Azure Information Protection-site om te controleren of uw organisatie een abonnement heeft waarin de gewenste functionaliteit en functies zijn opgenomen. Wijs vervolgens vanuit dit abonnement een licentie toe aan elke gebruiker in uw organisatie die zich bezighoudt met het classificeren, labelen en beschermen van documenten en e-mail.

Opmerking: wijs niet handmatig gebruikerslicenties toe vanaf de gratis RMS voor het abonnement van afzonderlijke gebruikers en gebruik deze licentie niet om de Azure Rights Management-service voor uw organisatie te beheren. Deze licenties verschijnen als ad-hoc Rights Management in het Office 365-beheercentrum en worden als RIGHTSMANAGEMENT_ADHOC weergegeven tijdens het uitvoeren van de Azure AD PowerShell-cmdlet Get-MsolAccountSku. Zie RMS voor personen en Azure Information Protection voor meer informatie over hoe RMS voor het abonnement van personen automatisch aan gebruikers wordt verleend en toegewezen.

Stap 2: bereid uw tenant voor op het gebruik van Azure Information Protection

Voordat u Azure Information Protection gaat gebruiken, moet u de volgende voorbereidingen treffen:

  • Zorg dat u in Office 365 of Azure Active Directory gebruikersaccounts en -groepen hebt die door Azure Information Protection worden gebruikt om gebruikers van uw organisatie te verifiëren en te autoriseren. Indien nodig maakt u dit account en deze groepen of synchroniseert u deze vanuit uw lokale map. Zie Gebruikers en groepen voorbereiden voor Azure Information Protection voor meer informatie.

Stap 3: configureer en implementeer classificatie en labels

Als u nog geen classificatiestrategie hebt, lees dan The default Azure Information Protection policy (Het standaardbeleid voor Azure Information Protection) en besluit op basis daarvan welke classificatielabels u wilt toewijzen aan uw organisatiegegevens. U kunt deze aan uw bedrijfsvereisten aanpassen.

Configureer de standaardlabels voor Azure Information Protection opnieuw om eventuele wijzigingen aan te brengen die nodig zijn om uw beslissingen voor classificatie te ondersteunen. Configureer het beleid voor handmatig labelen door gebruikers en schrijf gebruikersrichtlijnen om uit te leggen welk label wanneer moet worden toegepast. Voor meer informatie over het configureren van een Azure Information Protection-beleid raadpleegt u Configuring Azure Information Protection policy (Azure Information Protection-beleid configureren).

Vervolgens implementeert u de Azure Information Protection-client voor gebruikers en ondersteunt u dit met gebruikerstraining en uw instructies voor het selecteren van de labels. Zie Beheerdershandleiding voor de Azure Information Protection-client voor meer informatie over de installatie en ondersteuning van de client.

Als gebruikers na een tijd gewend zijn aan het labelen van documenten en e-mailberichten, kunt u geavanceerdere configuraties introduceren. Voorbeelden hiervan zijn:

  • Een standaardlabel toepassen

  • Gebruikers vragen wat de reden is als ze een label met een lager classificatieniveau hebben gekozen

  • Verplicht stellen dat alle documenten en e-mails een label hebben

  • Aangepaste kopteksten, voetteksten of watermerken

  • Voorwaarden ter ondersteuning van aanbevelingen en automatische labels

Selecteer in deze fase nog niet de optie om documenten en e-mails te beschermen.

Stap 4: voorbereidingen voor Rights Management-gegevensbescherming

Wanneer gebruikers gewend zijn aan het labelen van documenten en e-mails, kunt u gegevensbescherming voor de meest gevoelige gegevens gaan introduceren. Deze fase vraagt om de volgende voorbereiding voor de Azure Rights Management-service:

  1. Beslis of u wilt dat Microsoft uw tenantsleutel beheert (de standaardinstelling) of dat u uw tenantsleutel zelf wilt genereren en beheren (ook bekend als Bring Your Own Key ( BYOK)). Houd er rekening mee dat u op dit moment BYOK niet kunt gebruiken als u Exchange Online gebruikt. Zie Uw Azure Information Protection-tenantsleutel plannen en implementeren voor meer informatie.

  2. Installeer de Windows PowerShell-module voor Rights Management op ten minste één computer die toegang tot internet heeft. U kunt deze stap nu of later uitvoeren. Voor meer informatie raadpleegt u Windows PowerShell voor Azure Rights Management installeren.

  3. Als u momenteel lokale Rights Management Services gebruikt: voer een migratie uit om de sleutels, sjablonen en URL's te verplaatsen naar de cloud. Zie Migreren van AD RMS naar Information Protection voor meer informatie.

  4. Activeer de Azure Rights Management-service zodat u uw documenten en e-mails kunt gaan beschermen. Als een gefaseerde implementatie vereist is, configureert u de besturingselementen voor gebruikersvoorbereiding zodanig dat het gebruik beperkt is tot specifieke gebruikers. Zie voor meer informatie Azure Rights Management activeren.

Overweeg eventueel het volgende te configureren.

Stap 5: configureer uw Azure Information Protection-beleid, toepassingen en services voor gegevensbescherming met Rights Management

  1. Het Azure Information Protection-beleid bijwerken om gegevensbescherming toe te passen

    Wijzig het Azure Information Protection-beleid zo dat met een of meer labels Rights Management-bescherming wordt toegepast. Zie Een label configureren voor Rights Management-beveiliging voor meer informatie.

    Houd er rekening mee dat gebruikers labels in Outlook kunnen toepassen waarmee Rights Management-beveiliging wordt toegepast, zelfs als Exchange niet is geconfigureerd voor Information Rights Management (IRM). Uw organisatie beschikt echter pas over de volledige functionaliteit van Azure Rights Management-beveiliging met Exchange als u Exchange configureert voor IRM. Deze extra configuratie is opgenomen in stap 3 voor Exchange Online en stap 6 voor Exchange on-premises.

  2. Office-toepassingen en -services configureren voor IRM

    Configureer Office-toepassingen en -services voor de functies van IRM (Information Rights Management) in SharePoint Online of Exchange Online. Zie Toepassingen configureren voor Azure Rights Management voor meer informatie.

  3. De functie Supergebruiker configureren voor gegevensherstel

    Als u bestaande IT-services hebt die bestanden moeten controleren die worden beveiligd door Azure Rights Management, zoals oplossingen voor preventie van gegevenslekken, gateways voor inhoudversleuteling en antimalwareproducten: configureer de serviceaccounts als supergebruikers voor Azure Rights Management. Zie Configuring super users for Azure Rights Management and discovery services or data recovery (Supergebruikers configureren voor Azure Rights Management en detectieservices of gegevensherstel) voor meer informatie.

  4. Bestanden bulksgewijs classificeren en beveiligen - indien nodig

    De PowerShell-cmdlets waarmee u bestanden kunt classificeren en beveiligen en de classificatie en beveiliging kunt verwijderen, worden automatisch geïnstalleerd met de Azure Information Protection-client. Zie PowerShell gebruiken met de Azure Informatie Protection-client in de beheerdershandleiding voor meer informatie.

  5. De connector voor on-premises servers implementeren

    Installeer en configureer de Rights Management-connector als u on-premises services hebt die u wilt gebruiken met de Azure Rights Management-service. Zie De Azure Rights Management-connector implementeren voor meer informatie.

Stap 4: gebruik en controleer uw gegevensbeschermingsoplossingen

U kunt uw gegevens nu beveiligen en in een logboek vastleggen hoe uw bedrijf de door u geconfigureerde labels en de Rights Management-gegevensbeveiliging gebruikt. Zie het volgende voor meer informatie over de ondersteuning voor deze implementatiefase:

Als u geïnteresseerd bent in het automatisch beveiligen van bestanden met Infrastructuur voor bestandsclassificatie op een Windows-bestandsserver, raadpleegt u MS-beveiliging met infrastructuur voor bestandsclassificatie (FCI) voor Windows Server.

Stap 5: beheer de Rights Management-service voor uw tenantaccount, indien nodig

Als u begint met het gebruik van de Azure Rights Management-service, is Windows PowerShell wellicht nuttig voor scripts of het automatiseren van beheerwijzigingen. Zie voor meer informatie Beheer van Azure Rights Management met Windows PowerShell.

Implementatieschema voor alleen gegevensbescherming

Stap 1: controleer of u een abonnement hebt met inbegrip van Azure Rights Management

Raadpleeg de abonnementsgegevens en de functielijst op de Azure Information Protection-site om te controleren of uw organisatie een abonnement heeft waarin de gewenste functionaliteit en functies zijn opgenomen. Wijs vervolgens vanuit dit abonnement een licentie toe aan elke gebruiker in uw organisatie die de Azure Rights Management-service gebruikt om documenten en e-mail te beschermen.

Opmerking: wijs niet handmatig gebruikerslicenties toe vanaf de gratis RMS voor het abonnement van afzonderlijke gebruikers en gebruik deze licentie niet om de Azure Rights Management-service voor uw organisatie te beheren. Deze licenties verschijnen als ad-hoc Rights Management in het Office 365-beheercentrum en worden als RIGHTSMANAGEMENT_ADHOC weergegeven tijdens het uitvoeren van de Azure AD PowerShell-cmdlet Get-MsolAccountSku. Zie RMS voor personen en Azure Information Protection voor meer informatie over hoe RMS voor het abonnement van personen automatisch aan gebruikers wordt verleend en toegewezen.

Stap 2: bereid de tenant voor op het gebruik van de Azure Rights Management-service

Voordat u begint met het gebruik van Rights Management, doet u ter voorbereiding het volgende:

  1. Zorg dat u in uw Office 365-tenant de gebruikersaccounts en -groepen hebt die door Azure Information Protection worden gebruikt om gebruikers van uw organisatie te verifiëren en te autoriseren. Indien nodig maakt u dit account en deze groepen of synchroniseert u deze vanuit uw lokale map. Zie Gebruikers en groepen voorbereiden voor Azure Information Protection voor meer informatie.

  2. Beslis of u wilt dat Microsoft uw tenantsleutel beheert (de standaardinstelling) of dat u uw tenantsleutel zelf wilt genereren en beheren (ook bekend als Bring Your Own Key ( BYOK)). Houd er rekening mee dat u op dit moment BYOK niet kunt gebruiken als u Exchange Online gebruikt. Zie Uw Azure Information Protection-tenantsleutel plannen en implementeren voor meer informatie.

  3. Installeer de Windows PowerShell-module voor Rights Management op ten minste één computer die toegang tot internet heeft. U kunt deze stap nu of later uitvoeren. Zie voor meer informatie Windows PowerShell voor Azure Rights Management installeren.

  4. Als u momenteel lokale Rights Management Services gebruikt: voer een migratie uit om de sleutels, sjablonen en URL's te verplaatsen naar de cloud. Zie Migreren van AD RMS naar Azure Information Protection voor meer informatie.

  5. Activeer Rights Management, zodat u kunt beginnen met het gebruik van de service. Als een gefaseerde implementatie vereist is, configureert u de besturingselementen voor gebruikersvoorbereiding zodanig dat het gebruik beperkt is tot specifieke gebruikers. Zie voor meer informatie Azure Rights Management activeren.

Overweeg eventueel het volgende te configureren.

Stap 3: de client installeren en toepassingen en services configureren voor Rights Management

  1. De Azure Information Protection-client implementeren

    Installeer de Azure Information Protection voor gebruikers om ondersteuning voor Office 2010 te bieden, andere bestanden dan Office-documenten en e-mails te beveiligen en om beveiligde documenten bij te houden. Geef gebruikerstraining voor deze client. Zie Azure Informatie Protection-client voor Windows voor meer informatie.

  2. Office-toepassingen en -services configureren voor IRM

    Configureer Office-toepassingen en -services voor de functies van IRM (Information Rights Management) in SharePoint Online of Exchange Online. Zie Toepassingen configureren voor Azure Rights Management voor meer informatie.

  3. De functie Supergebruiker configureren voor gegevensherstel

    Als u bestaande IT-services hebt die bestanden moeten controleren die worden beveiligd door Azure Rights Management, zoals oplossingen voor preventie van gegevenslekken, gateways voor inhoudversleuteling en antimalwareproducten: configureer de serviceaccounts als supergebruikers voor Azure Rights Management. Zie Configuring super users for Azure Rights Management and discovery services or data recovery (Supergebruikers configureren voor Azure Rights Management en detectieservices of gegevensherstel) voor meer informatie.

  4. Bestanden bulksgewijs beveiligen - indien nodig

    De PowerShell-cmdlets waarmee u meerdere bestandstypen bulksgewijs kunt beveiligen of de beveiliging bulksgewijs kunt opheffen, worden automatisch geïnstalleerd met de Azure Information Protection-client. Zie PowerShell gebruiken met de Azure Informatie Protection-client in de beheerdershandleiding voor meer informatie.

  5. De connector voor on-premises servers implementeren

    Installeer en configureer de Rights Management-connector als u on-premises services hebt die u wilt gebruiken met de Azure Rights Management-service. Zie De Azure Rights Management-connector implementeren voor meer informatie.

Stap 4: gebruik en controleer uw gegevensbeschermingsoplossingen

U bent nu klaar om uw gegevens te beschermen en in het logboek te registreren hoe uw bedrijf Rights Management gebruikt. Voor meer informatie bij deze implementatiefase raadpleegt u Gebruikers helpen bij het beveiligen van bestanden door gebruik te maken van de Azure Rights Management-service en Het gebruik van de Azure Rights Management-service vastleggen in een logboek en analyseren.

Als u geïnteresseerd bent in het automatisch beveiligen van bestanden met Infrastructuur voor bestandsclassificatie op een Windows-bestandsserver, raadpleegt u MS-beveiliging met infrastructuur voor bestandsclassificatie (FCI) voor Windows Server.

Stap 5: beheer de Rights Management-service voor uw tenantaccount, indien nodig

Als u begint met het gebruik van de Azure Rights Management-service, is Windows PowerShell wellicht nuttig voor scripts of het automatiseren van beheerwijzigingen. Zie voor meer informatie Beheer van Azure Rights Management met Windows PowerShell.

Opmerkingen

Voordat u opmerking invoert, vragen we u onze regels door te lezen.